如何以及為什么衡量網(wǎng)絡(luò)安全

成熟的網(wǎng)絡(luò)風(fēng)險(xiǎn)計(jì)劃的核心支柱是衡量、分析和報(bào)告網(wǎng)絡(luò)安全威脅和性能的能力。話雖如此，衡量網(wǎng)絡(luò)安全并不容易。一方面，企業(yè)領(lǐng)導(dǎo)者很難理解信息風(fēng)險(xiǎn)（因?yàn)樗麄兺ǔ](méi)有網(wǎng)絡(luò)安全背景）;另一方面，安全人員陷入了太多的技術(shù)細(xì)節(jié)，最終導(dǎo)致混淆、誤解或誤導(dǎo)利益相關(guān)者。

在理想的情況下，網(wǎng)絡(luò)安全人員必須以企業(yè)高管能夠理解、發(fā)現(xiàn)有用、滿足好奇心并導(dǎo)致可操作結(jié)果的方式衡量和報(bào)告網(wǎng)絡(luò)安全。

在網(wǎng)絡(luò)安全方面可以衡量什么?

大多數(shù)利益相關(guān)者通常對(duì)風(fēng)險(xiǎn)、合規(guī)性或保證存在疑問(wèn)。不幸的是，這些問(wèn)題通常無(wú)法使用單一數(shù)據(jù)點(diǎn)來(lái)回答。幸運(yùn)的是，為了解決利益相關(guān)者的問(wèn)題和擔(dān)憂，網(wǎng)絡(luò)安全人員可以衡量各種各樣的事情，這些可大致分類為：

·控制：為應(yīng)對(duì)威脅和降低信息風(fēng)險(xiǎn)而采取的措施。

·資產(chǎn)：企業(yè)擁有的任何有價(jià)值的物品。

·漏洞：系統(tǒng)中可能被威脅利用的弱點(diǎn)。

·威脅事件：由能夠?qū)Y產(chǎn)造成損害的威脅發(fā)起的行動(dòng)。

·安全事件：在中斷、停機(jī)、系統(tǒng)關(guān)閉、數(shù)據(jù)泄露、網(wǎng)絡(luò)釣魚、勒索軟件等方面成功影響業(yè)務(wù)的事件。

以上類別可以根據(jù)數(shù)量、時(shí)間或成本進(jìn)一步細(xì)分。例如，通過(guò)數(shù)字可以衡量未打補(bǔ)丁的服務(wù)器的總數(shù)和百分比，未打補(bǔ)丁的服務(wù)器與所需基線和容量的比率，或者可能修補(bǔ)的服務(wù)器數(shù)量。通過(guò)時(shí)間可以衡量識(shí)別事件所花費(fèi)的時(shí)間，或者特定網(wǎng)絡(luò)威脅在一段時(shí)間內(nèi)發(fā)生的頻率。通過(guò)成本可以幫助企業(yè)從財(cái)務(wù)方面衡量事件的影響、恢復(fù)成本以及由于停機(jī)造成的業(yè)務(wù)損失。

為什么要關(guān)注KPI?

網(wǎng)絡(luò)安全人員在向業(yè)務(wù)團(tuán)隊(duì)報(bào)告時(shí)必須選擇最相關(guān)的指標(biāo)。大多數(shù)網(wǎng)絡(luò)安全團(tuán)隊(duì)專注于指標(biāo)，這些是與資產(chǎn)、漏洞和威脅事件相關(guān)的基本指標(biāo)。另一方面，執(zhí)行團(tuán)隊(duì)關(guān)心關(guān)鍵績(jī)效指標(biāo)（KPI）和關(guān)鍵風(fēng)險(xiǎn)指標(biāo)（KRI），因?yàn)檫@些指標(biāo)可以幫助回答與信息安全風(fēng)險(xiǎn)、運(yùn)行狀況、準(zhǔn)備工作和業(yè)務(wù)優(yōu)先級(jí)相關(guān)的具體問(wèn)題：

·企業(yè)的系統(tǒng)安全嗎?

·安全投資是否為企業(yè)帶來(lái)價(jià)值?

·從安全角度來(lái)看，是否符合監(jiān)管義務(wù)?

·企業(yè)如何應(yīng)對(duì)勒索軟件攻擊或供應(yīng)鏈攻擊?

這些都是KPI和KRI幫助回答的問(wèn)題類型，這就是為什么網(wǎng)絡(luò)安全人員必須專注于KPI和KRI的原因，衡量他們的安全性能、準(zhǔn)備和有效性。

安全團(tuán)隊(duì)如何衡量網(wǎng)絡(luò)安全?

構(gòu)建正確的衡量框架是一個(gè)漸進(jìn)的迭代過(guò)程，以下探索構(gòu)建安全衡量周期所涉及的五個(gè)主要步驟:

（1）定義需求

與利益相關(guān)者進(jìn)行雙向?qū)υ?，以定義和理解他們的需求。在開(kāi)始時(shí)，利益相關(guān)者并不總是對(duì)信息風(fēng)險(xiǎn)和他們自己的需求有很好的理解，因此需要一種更加自下而上的方法，即安全人員衡量他們認(rèn)為重要的內(nèi)容并向上報(bào)告。安全從業(yè)人員可以利用這些對(duì)話自己提出探究性問(wèn)題，制定必要的議程。

（2）選擇關(guān)鍵指標(biāo)

一旦定義了利益相關(guān)者的需求，網(wǎng)絡(luò)安全人員應(yīng)該確定并選擇有助于支持這些需求的關(guān)鍵指標(biāo)，必須咨詢所有利益相關(guān)者，并告知將在稍后階段提出的衡量標(biāo)準(zhǔn)。

關(guān)鍵指標(biāo)應(yīng)使利益相關(guān)者能夠采取行動(dòng)或做出決定。這些關(guān)鍵指標(biāo)應(yīng)處于較高水平，且數(shù)量較少。其目標(biāo)是幫助決策，而不是用數(shù)據(jù)來(lái)壓倒或混淆人們。

（3）確定指標(biāo)

在確定了企業(yè)的高層目標(biāo)和指標(biāo)之后，安全團(tuán)隊(duì)現(xiàn)在必須專注于確定有助于報(bào)告這些指標(biāo)的基本指標(biāo)。根據(jù)指標(biāo)的確切性質(zhì)，這可能涉及所需的幾十個(gè)指標(biāo)，涉及上述各種指標(biāo)類別。

（4）收集和分析指標(biāo)，計(jì)算關(guān)鍵指標(biāo)

既然確定了需求，選擇了關(guān)鍵指標(biāo)并確定了衡量標(biāo)準(zhǔn)，網(wǎng)絡(luò)安全人員現(xiàn)在可以開(kāi)始收集和分析基于這些關(guān)鍵指標(biāo)的數(shù)據(jù)。衡量標(biāo)準(zhǔn)必須只使用準(zhǔn)確、及時(shí)、相關(guān)和值得信賴的數(shù)據(jù)。否則，企業(yè)高管可能會(huì)做出錯(cuò)誤的決策，在業(yè)務(wù)方面造成嚴(yán)重后果。安全團(tuán)隊(duì)必須找到在持續(xù)的基礎(chǔ)上收集這些數(shù)據(jù)的方法（大多數(shù)衡量需要查看隨時(shí)間變化的趨勢(shì)視圖），并且最好使該過(guò)程盡可能自動(dòng)化（人工過(guò)程可能很累且耗時(shí)）。

（5）向利益相關(guān)者報(bào)告關(guān)鍵指標(biāo)

關(guān)鍵指標(biāo)必須及時(shí)向決策者報(bào)告，安全人員和利益相關(guān)者應(yīng)該就節(jié)奏達(dá)成一致：報(bào)告需要多長(zhǎng)時(shí)間提交一次?報(bào)告風(fēng)格也必須達(dá)成一致，因?yàn)椴煌姆椒ㄟm合不同的利益相關(guān)者：是需要儀表板，還是幻燈片演示?關(guān)鍵指標(biāo)應(yīng)清晰可見(jiàn)，易于理解。最后，報(bào)告應(yīng)該促進(jìn)決策或行動(dòng)。

最后，在每個(gè)報(bào)告周期之后，重要的是審查關(guān)鍵指標(biāo)并與利益相關(guān)者重新驗(yàn)證它們。安全團(tuán)隊(duì)和利益相關(guān)者必須問(wèn)，所報(bào)告的指標(biāo)是否仍然具有價(jià)值?是否需要更改某些內(nèi)容?如果業(yè)務(wù)需求確實(shí)發(fā)生了變化，那么必須重新定義需求并分析不同的指標(biāo)。

不要忘記，網(wǎng)絡(luò)威脅環(huán)境總是在變化，因此安全也必須同步發(fā)展。企業(yè)、利益相關(guān)者和網(wǎng)絡(luò)安全人員不應(yīng)該害怕倒退?？焖偈?、繼續(xù)前進(jìn)、即興發(fā)揮或重新規(guī)劃的能力是成功衡量網(wǎng)絡(luò)安全的關(guān)鍵。